[調査] 画面では、検索クエリを指定できます。クエリの作成中に、提案として enriched 検索フィールドを表示できます。改善された enriched フィールドを使用して、Carbon Black Cloud 分析エンジンによって強化されたすべてのセンサー データ(悪意のあるアクティビティに関連付けることができる動作のタイプに基づいて関心があると判断された)を見つけます。true に設定すると、このフィールドは [プロセス] タブでより正確な検索結果を得られます。[強化されたイベント] タブには、検索クエリで enriched:true を指定する必要なく、強化されたイベントが一覧表示されます。
検索クエリの一部として enriched:true を含めることで、結果を Carbon Black Cloud Endpoint Standard 対応センサーからの強化されたデータのみに制限できます。強化されていないデータのみを含めるには、検索に -enriched:true を追加します。調査検索インターフェイスは、legacy:true 検索可能フィールドを承認しなくなりました。代わりに enriched フィールドを使用する必要があります。
強化されたデータを利用できるようにするには、Carbon Black Cloud Endpoint Standard と Carbon Black Cloud Enterprise EDR ソリューションを有効にします。
重要: ハッシュ、IP アドレス、ドメイン、クエリなどの侵入の痕跡 (IOC) を使用する場合は、強化されたデータを除外することがベスト プラクティスです。IOC クエリに次のプロセス フィールドを含める場合は、
-enriched:true を設定して、強化されたセグメントを除外してください。これにより、誤検出と検出漏れを最小限に抑えることができます。
| process_publisher_state | process_elevated | modload_hash |
| process_publisher | process_integrity_level | modload_name |
| process_product_version | process_privileges | modload_publisher |
| process_original_filename | childproc_count | modload_publisher_state |
| process_file_description | crossproc_count | scriptload_content |
| process_product_name | filemod_count | scriptload_content_length |
| process_company_name | netconn_count | scriptload_hash |
| process_internal_name | regmod_count | scriptload_name |
| parent_publisher_state | scriptload_count | scriptload_publisher_state |
| process_service_name | modload_count | -- |
強化されたデータを除く IOC クエリ:
process_name:sethc.exe -process_file_description:「
Accessibility\shortcut\keys」 -
process_file_description:「
Windows\NT\High\Contrast\Invocation」)
-enriched:true
